CER:CertiK：PAID Network攻擊事件還原

2021年3月5日，PAIDNetwork遭受了由于私鑰管理不善而引起的"鑄幣"攻擊。攻擊者使用代理合約私鑰，將原先經過CertiK審計的PAID合約代碼掉包，添加了銷毀和鑄幣的功能函數。因為PAID代幣已達上限，攻擊者先銷毀了6000萬枚PAID代幣，然后再重新鑄造了59,471,745枚PAID，并通過Uniswap出售。CertiK團隊第一時間和PAID?Network團隊溝通調查，確認了原代碼并無漏洞，攻擊事件是由私鑰泄露導致的。目前CertiK團隊仍無法確認私鑰泄露的原因，但已經可以將整個攻擊過程還原。?PAID事件時間線

HaloDAO在Balancer V2上構建自定義AMM以促進非美元穩定幣掉期和流動性:9月4日消息，去中心化穩定幣市場HaloDAO是非美元穩定幣DeFi項目，它宣布已選擇與Balancer及其V2平臺集成，以促進基于非美元法定貨幣（如XSGD、THKD 和 EURS）的穩定幣掉期和收益生成。與Balancer V2集成允許HaloDAO創建自定義AMM綁定曲線以優化外匯掉期，也為HaloDAO帶頭的穩定幣的收益率產生和整體流動性帶來了益處。使用Balancer V2，可以使用非美元穩定幣和加密貨幣創建額外的貨幣對，如BTC/XSGD、ETH/TAUD等。（dailyhodl）[2021/9/4 23:00:32]

2021年3月5日，PAID遭受了持續約30分鐘的攻擊。通過鏈上分析，CertiK團隊總結了攻擊的時間線及操作步驟如下：第一步：合約所有權被轉移給了攻擊者，此時攻擊者在得到私鑰后就已經完全獲得了代理合約的控制權。第二步：攻擊者利用代理更新合約，添加了銷毀和鑄幣的功能函數。第三步：攻擊者銷毀了6000萬枚PAID，留出鑄幣空間。第四步：攻擊者開始鑄幣，并向Uniswap傾銷PAID代幣以換取以太幣。最后，本次事件并沒有攻擊智能合約的代碼本身，而是通過某種渠道獲得了代理合約的私鑰。CertiK在審計報告中的PTN-10章節提出了:AmbiguousFunctionality以及其他章節強調了PAID合約中心化的問題。總結

Balancer上線Polygon網絡:7月1日消息，Balancer上線Polygon，Balancer官方表示將與Polygon合作提升DeFi流動性，降低交易費用。Balancer將會在Polygon網絡進行流動性挖礦。[2021/7/1 0:20:52]

2021年3月5日，攻擊者獲得PAID代理合約私鑰，替換原有代碼，添加了銷毀和鑄幣的功能函數。攻擊者之后銷毀了6000萬枚PAID代幣，留出鑄幣空間。最后，鑄造了59,471,745枚PAID，并通過Uniswap出售了2,401,203枚代幣。客觀來看，本次攻擊事件中攻擊者并沒有找到任何原合約的漏洞，而是直接獲得了代理合約私鑰。當合約的可升級性作為項目的預期功能而存在時，它在智能合約中確實有其存在的價值。而這種類型的功能要求合約所有者以及部署者在確保代碼基本安全的同時，同樣必須保證私鑰的安全。CertiK將會在未來更多地強調并關注中心化及私鑰保護等相關問題。

去中心化交易協議Balancer擬于3月發布V2版 目前正在進行內部審計:去中心化交易協議Balancer（BAL）宣布計劃于今年3月份發布BalancerV2版本，目前正在進行內部審計。BalancerV2的升級內容或功能主要包括機槍池（Vault）將適用于所有Balancer池添加的所有資產、提升Gas效率、提高資本效率、較低的Gas成本和富有彈性的預言機、由社區管理的協議費用以及無需許可、可自定義的AMM邏輯等。其中，協議費用包括交易費用、資產撤回費用以及短期貸款費用，將由治理決定。[2021/2/3 18:45:39]

復制下方鏈接至瀏覽器，查看CertiK于2021年1月24日為PAIDNetwork出具的審計報告：https://certik.org/projects/paidnetwor

Tags：CERAIDPAIDPAIAsia Influencer PlatformAidoge幣總共有多少paid幣官方PAI價格

火星幣